問題タブ [geneva-framework]

皆さん、ADFS v2.0 (Geneva) の Release Candidate バージョンを使用して保護しようとしている ASP.NET MVC アプリケーションを持っています。アプリケーションを証明書利用者信頼として構成し、Fedutil.exe を使用してアプリケーションの Web.config を変更し、アプリケーションが Geneva サーバーに関する情報を持ち、Geneva サーバーをクレーム ソースとして使用するようにしました。

ただし、MVC アプリにアクセスしようとすると、ジュネーブにリダイレクトされ、(自己署名証明書について警告した後) 再び MVC アプリにリダイレクトされます。両方の自己署名証明書の警告を受け入れた後、2 つのサーバーは、最終的にジュネーブが次のメッセージを吐き出すまで、無限のリダイレクト ループで互いにピンポンを再生します。

同じクライアント ブラウザ セッションが、最後の '1' 秒間に '6' リクエストを作成しました。不適切な構成の可能性があります。詳細については、管理者にお問い合わせください。

上記のメッセージを含むイベントを除いて、MVC 側または Geneva のイベント ログにエラーはありません。この問題を試してデバッグし、診断し、できれば修正する方法について誰かが私に情報を提供してくれたら、私は永遠に感謝します.

繰り返しになりますが、ジュネーブ ボックスは ADFS v2.0 リリース候補であり、ASP.NET MVC サイトは、WIF SDK の FedUtil.exe を使用して Web.config を変更した Windows Identity Foundation SDK の最新 ('09 年後半) バージョンを使用して構築されました。 .

だから、あなたは皆、これからキックを得るでしょう.私はFirefoxからこの同じアプリケーションを試しました.それはうまくいきます. ドメイン資格情報の入力を求めるプロンプトが表示され、ADFS v2 サーバーが 1 回リダイレクトしてから、アプリケーションのホームページに行き着き、アカウント名とパーソナライズされた挨拶が表示されます。では、本当の問題は次のとおりです。IE8 が無限のリダイレクト ループに陥り、Firefox が ISN'T ではないのはなぜですか?? さらにテストを重ねた結果、Safari と Firefox の両方で、ADFS v2 (RC) または WIF (RTW) からの既定のパイプラインを変更することなく、このシナリオを箱から出してすぐに動作させることができました。IE8 は、この認証シナリオを処理する際に問題が発生する唯一のブラウザーです。自己署名証明書のインストールと信頼を含め、すべてを試しました。

以下のシナリオの構成に苦労しています。

• WCF サービスにセキュリティ トークンを提供するカスタム WCF/WIF STS (RP-STS) があります。
• RP-STS は「アクティブな」STS です
• RP-STS はクレーム変換 STS として機能します
• RP-STS は、多くの顧客固有の ID プロバイダー STS (IdP-STS) からのトークンを信頼します
• WCF クライアントがサービスに接続するとき、ローカルの IdP-STS で認証する必要があります。

私が行った読書では、これを Home Realm Discovery と呼んでいます。HRD は通常、Web アプリケーションとパッシブ STS のコンテキスト内で説明されます。私の質問は、私の状況では、IdP-STS エンドポイントを選択するためのロジックは RP-STS または WCF クライアント アプリケーションに属しますか?

RP-STS に属していると思いましたが、これを実現するための構成がわかりません。RP-STS には単一のエンドポイントがありますが、エンドポイントごとに複数の信頼できる発行者を追加する方法がわかりません。

これに関するガイダンスは非常に高く評価されます（Googleにとって有用なキーワードがありません。）また、私が離れている場合は、別のアプローチを提供してください。

_{(ソース: marshaledthoughts.com )}

ADFS 2.0 環境を学習しようとしているときに、Visual Studio 2010 を使用して RP となる空の ASP.NET クレーム対応アプリケーションを作成しました。

ADFS 2.0 を使用して、次のことを行いました。

1. 「証明書利用者信頼の追加...」ウィザードを使用して SAML 2.0 証明書利用者を作成しました
2. 「クレーム プロバイダー信頼の追加...」ウィザードを使用して、SAML 2.0 クレーム プロバイダーを作成しました。

今、私は次の手順を実行しました：

• ブラウザーがhttp://localhost/adfs/IdpInitiatedSignOn.aspxを指すようにしました
• 手順 1 で定義した RP をコンボ ボックスからサインインするサイトとして選択しました。
• 次のページで、手順 2 で定義した IDP をコンボ ボックスから認証サイトとして選択します。
• [サインインを続ける] をクリックしました

ADFS 2.0 は、IDP 用に構成された URL にリダイレクトし、SAMLRequest が要求に添付されます。（これは素晴らしい）

ただし、IDP に到着した SAML リクエストには ACS URL が含まれていません (より技術的には、「AssertionConsumerServiceURL」の XML ノードはありません)。

ACS URL は SAML リクエストの必須属性ではありませんか?

ありがとう ！ヨアシュ

現在、異なるドメインにいくつかの.Netアプリケーションがあり、それぞれに個別のメンバーシップがあります。シングルサインオン（できればシングルサインオフ）とAzureでホストされる一元化されたメンバーシップを使用したフェデレーションログインに移行します。

私たちにとって当然の選択は、すべてのサイトがWIFで認証するAzureのアクセス制御用の独自のIDプロバイダーを作成することであるように見えましたが、将来、非.Netサイトがこれで認証する必要がある可能性があります。

これはまだ許容できるルートですか？

私たちのサイトは認証にADFSを使用しています。すべてのリクエストでCookieのペイロードを減らすために、IsSessionModeをオンにしています（ダイエットでのfedauth Cookieを参照）。

負荷分散された環境でこれを機能させるために最後に行う必要があるのは、ファーム対応のSecurityTokenCacheを実装することです。実装は非常に簡単なようです。私は主に、SecurityTokenCacheKeyメソッドとTryGetAllEntriesメソッドおよびTryRemoveAllEntriesメソッドを処理するときに考慮すべき落とし穴があるかどうかを調べることに関心があります（SecurityTokenCacheKeyにはEqualsメソッドとGetHashCodeメソッドのカスタム実装があります）。

誰かがこれの例を持っていますか？AppFabricをバッキングストアとして使用することを計画していますが、データベーステーブル、Azureテーブルストレージなどの永続ストアを使用した例が役立ちます。

これが私が検索したいくつかの場所です：

• Hervey WilsonのPDC09セッションでは、DatabaseSecurityTokenCacheを使用します。彼のセッションのサンプルコードを見つけることができませんでした。
• VittorioBertocciの優れた本「ProgrammingWindowsIdentityFoundation」の192ページで、彼はAzure対応のSecurityTokenCacheのサンプル実装を本のWebサイトにアップロードすることに言及しています。私もこのサンプルを見つけることができませんでした。

ありがとう！

jd

2012年3月16日更新Vittorioのブログは、新しい.net4.5のものを使用したサンプルにリンクしています。

ClaimsAwareWebFarm このサンプルは、多くの皆さんから寄せられたフィードバックへの回答です。大きなCookieを交換する代わりに、参照によってセッションを使用できるように、（tokenreplycacheではなく）ファーム対応のセッションキャッシュを示すサンプルが必要でした。そして、あなたは農場でクッキーを保護するより簡単な方法を求めました。

まず、IsSessionMode = trueを設定して Cookie のサイズを小さくする必要がありました

2 つの RP インスタンスのバランスをとる必要があります。RP インスタンスを持つ 2 つの異なるマシンで次の手順を実行しました。

1) ServiceConfigurationCreated イベントにサブスクライブ

2） asp.net状態サービスへのセッションを奪いました

問題：

STS にログオンしようとすると、RP から STS への無限のリダイレクトが発生します

理由がわかりません。トークンはセッションに保存されます(IsSessionMode = true)。セッションは、asp.net 状態サービスによって 2 つの異なるホスト間で共有されます。

何が問題ですか？私は何を取りこぼしたか？

私は何か重要なことを理解していないと思います。

私は愚かで、これら 2 つのフレームワークが提供するものを知りません。クレーム ベースの認証に移行したかったのですが、これら 2 つのフレームワークが提供するものを理解していません。これら 2 つは名前が異なるだけで同じ機能を提供しているのでしょうか、それとも目的がありますか?

既存のフォーム認証アプリケーションを「クレームベース認証」に移植するのに役立つ SO に関する質問はありますか?

あなたの答えをどうもありがとうございました

私の Web サイトは、AD FS ベースの認証を実装しています。ここで、クライアントを介して自分の Web サイトにプログラムでアクセスする必要があります。クライアントは、現在ログオンしているユーザーのコンテキストを使用して、ADFS サーバーからセキュリティ トークンを要求する必要があります。adfs/services/trust/13/usernamemixedクライアントからのユーザー名とパスワードを使用してエンドポイントからセキュリティ トークンを要求し、それを自分の Web サイトに投稿することに成功しました。

私にとってうまくいかないのは、adfs/services/trust/13/windowsmixedを使用してエンドポイントから同じトークンを要求することDefaultNetworkCredentialsです。エラーが発生しますThe HTTP request was forbidden with client authentication scheme 'Anonymous'.。Microsoft.IdentityModelSDKを使用しています ( System.IdentityModel.NET 4.5 ではなく)。

これが私のコードのスニペットです。

ADFS サーバーを制御することはできず、そこから何が問題なのかをデバッグすることはできません。私ができることは、クライアント側からのみです。上記のコードで何が問題になっているのですか? どんな助けや指針も大歓迎です。

これを可能にすると思われるプロパティがいくつかあります。

プロパティ (辞書) の追加のコンテキストとコンテキスト...

どちらを使用するのが最も適切かについてのガイドラインが見つかりません...

基本的に、トークンのリクエスタが「外部ユーザー ID」を提供してくれる必要があり、構築中の STS にはそれが応答 (RSTR) のクレームとして含まれます。